Windows erbjuder två kommandon som tillåter alla med administratörsbehörighet att exportera Windows Event Logs med PowerShell. Processen är enkel men kan göras på flera sätt med hjälp avGet-WinEvent
ellerGet-EventLog
cmdlets, beroende på version av Windows.
Här är de tre kommandona för att extrahera Even-loggar med PowerShell.
- Använder Get-WinEvent
- Använder Get-EventLog
- Använder wevtutil för Raw EVTX-loggar
Du kan köra dessa kommandon på PowerShell eller Windows Terminal.
1] Använda Get-WinEvent
Exportera systemloggen direkt till en .csv-fil:
Get-WinEvent -LogName System | Export-Csv -Path "C:\Log\SystemLog.csv" -NoTypeInformation
Här betyder LogName System loggar genererade för System, och det exporteras i CSV-format.
Om du vill ha loggar från de senaste 24 timmarna i .csv-format:
Get-WinEvent -LogName Application -StartTime (Get-Date).AddDays(-1) | Export-Csv -Path "C:\Logs\ApplicationLastDay.csv" -NoTypeInformation
2] Använda Get-EventLog
Exportera applikationsloggen direkt till en txt-fil:
Get-EventLog -LogName Application | Out-File -FilePath "C:\Log\ApplicationLog.txt"
Här LogName Application: Specificerar. Utdata sparas som vanlig textfil.
Läsa:
3] Använda wevtutil för Raw EVTX-loggar
EVTX-filer ärfiler lagrade i det proprietära .evtx-formatet som används av Windows Event Log-tjänsten. De fungerar som ett arkiv för inspelning av händelser (t.ex. systemhändelser, applikationsfel, säkerhetsgranskningar) som genereras av operativsystemet och installerade applikationer.
wevtutil epl Security "C:\LogsSecurityLog.evtx"
Här står EPL för Export log. Ovanstående kommando skickar ut loggar i deras råa, ursprungliga EVTX-format. Det bästa med att skapa en EVTX-fil är att du kan öppna den direkt i händelsevisaren.
Jag hoppas att detta hjälper.
Hur öppnar man EVTX filer?
EVTX-filer kan öppnas och analyseras med hjälp av flera verktyg. Den vanligaste metoden är genom Event Viewer, en inbyggd Windows-applikation som låter dig se och tolka händelseloggarna. För att komma åt det, tryck på Win + R, skriveventvwr, och öppna alternativet "Öppna sparad logg" för att ladda externa EVTX-filer.
Läsa:
Kan EVTX-filer konverteras till CSV?
EVTX-filer kan konverteras till mer tillgängliga format som CSV eller vanlig text för enklare analys. Du kan användaGet-WinEvent
cmdlet i PowerShell för att extrahera specifik händelsedata och exportera den till en CSV-fil med WinEvent eller verktyg somEvtx2JsonellerLog Parser.
Get-WinEvent -LogName Application | Export-Csv -Path "C:\Logs\ApplicationLog.csv" -NoTypeInformation
Läsa:.